Programme
Introduction à la gestion des risques
- La définition du risque et ses caractéristiques : potentialité, impact, gravité.
- Les différents types de risques : accident, erreur, malveillance.
- La classification DIC : Disponibilité, Intégrité et Confidentialité d’une information.
- Les contre-mesures en gestion des risques : prévention, protection, report de risque, externalisation.
RSSI : chef d'orchestre de la sécurité
- Quels sont le rôle et les responsabilités du Responsable Sécurité SI ?
- Vers une organisation de la sécurité, le rôle des « Assets Owners ».
- Gestion optimale des moyens et des ressources alloués.
- Le Risk Manager dans l’entreprise ; son rôle par rapport au Responsable Sécurité SI.
Les cadres normatifs et réglementaires
- Les réglementations SOX, COSO, COBIT«. Pour qui ? Pour quoi ?
- Vers la gouvernance du Système d’Information. Les liens avec ITIL® et CMMI.
- La norme ISO 27001 dans une démarche système de management de la sécurité de l’information.
- Les liens avec ISO 15408 : critères communs, ITSEC, TCSEC.
- Les atouts de la certification ISO 27001 pour les organisations.
Le processus d'analyse des risques
- Identification et classification des risques.
- Risques opérationnels, physiques, logiques.
- Comment constituer sa propre base de connaissances des menaces et vulnérabilités ?
- Utiliser les méthodes et référentiels : EBIOS/FEROS, MEHARI.
- La démarche d’analyse de risques dans le cadre de l’ISO 27001, l’approche PDCA (Plan, Do, Check, Act).
- Le standard ISO 27005 et les évolutions des méthodes françaises.
- De l’appréciation des risques au plan de traitement des risques : les bonnes pratiques.
Les audits de sécurité et le plan de sensibilisation
- Processus continu et complet.
- Les catégories d’audits, de l’audit organisationnel au test d’intrusion.
- Les bonnes pratiques de la norme 19011 appliquées à la sécurité.
- Comment créer son programme d’audit interne ? Comment qualifier ses auditeurs ?
- Apports comparés, démarche récursive, les implications humaines.
- Sensibilisation à la sécurité : qui ? Quoi ? Comment ?
- Définitions de Morale/Déontologie/Ethique.
- La charte de sécurité, son existence légale, son contenu, sa validation.
Le coût de la sécurité et les plans de secours
- Les budgets sécurité.
- La définition du Return On Security Investment (ROSI).
- Les techniques d’évaluation des coûts, les différentes méthodes de calcul, le Total Cost of Ownership (TCO).
- La notion anglo-saxonne du « Payback Period ».
- La couverture des risques et la stratégie de continuité.
- Plans de secours, de continuité, de reprise et de gestion de crise, PCA/PRA, PSI, RTO/RPO.
- Développer un plan de continuité, l’insérer dans une démarche qualité.
Concevoir des solutions optimales
- Démarche de sélection des solutions de sécurisation adaptées pour chaque action.
- Définition d’une architecture cible.
- La norme ISO 1540 comme critère de choix.
- Choisir entre IDS et IPS, le contrôle de contenu comme nécessité.
- Comment déployer un projet PKI ? Les pièges à éviter.
- Les techniques d’authentification. Vers des projets SSO. Fédération d’identité.
- La démarche sécurité dans les projets SI, le cycle PDCA idéal.
Supervision de la sécurité
- Gestion des risques : constats, certitudes…
- Indicateurs et tableaux de bord clés, vers une démarche ISO et PDCA.
- Externalisation : intérêts et limites.
Les atteintes juridiques au Système de Traitement Automatique des Données
- Rappel, définition du Système de Traitement Automatique des Données (STAD).
- Types d’atteintes, contexte européen, la loi LCEN.
- Quels risques juridiques pour l’entreprise, ses dirigeants, le RSSI ?
Recommandations pour une sécurisation "légale" du SI
- Rappel, définition du Système de Traitement Automatique des Données (STAD).
- Types d’atteintes, contexte européen, la loi LCEN.
- Quels risques juridiques pour l’entreprise, ses dirigeants, le RSSI ?
